우리나라 기업내 CISO 확대 및 활성화 위해 가장 필요한 것은? 
‘정보보호 등급제도’ 등 정보보호정책 수립에 CISO 의견 적극 반영  
정보보호최고책임자(CISO)협의회, 2월 CISO 포럼 개최

[보안뉴스 김태형] 카드사 정보유출 사건 등으로 정보보호최고책임자(CISO)의 역할이 더욱 중요해진 가운데 공공기관 및 기업에서 CISO가 어느 정도의 책임을 갖고, 어떤 역할을 담당해야 하는지 조금 색다른 시각에서 논의하는 자리가 마련됐다.

정보보호최고책임자협의회(회장 이홍섭)는 25일 인터컨티넨탈 서울 코엑스에서 50여 명의 회원들이 참석한 가운데 ‘2014년 2월 CISO포럼’을 개최하고 주제발표를 통해 향후 CISO의 역할과 과제에 대해 고민해보는 시간을 가졌다.

이날 이홍섭 회장은 인사말을 통해 “최근 신용정보 유출 사건으로 사회적으로 큰 혼란을 겪고 있지만 이처럼 모든 것이 어렵고 열악한 상황에서도 CISO 여러분들은 주어진 임무를 잘 수행해야 그 존재가치가 효과적으로 나타날 수 있을 것”이라고 말했다.

이어서 미래창조과학부 정보화전략국 강성주 국장은 “그동안 ‘보안’은 음지에만 있었다. 하지만 더 이상 음지에만 있지 말고 나서야 한다. 보안에 대한 확고한 원칙을 갖고 있어야 한다고 생각한다”면서 “이를 위해 CISO가 핵심적인 역할을 할 수 있도록 정부에서도 적극 지원할 방침이다. 특히 정보보호정책 수립에 있어 CISO 여러분들의 다양한 의견을 듣고 이를 적극적으로 활용하겠다”고 강조했다. 

▲ 미래창조과학부 정보화전략국 강성주 국장은 25일 개최된 CISO포럼에서 “CISO가 정보보안의 핵심 역할을 할 수 있도록 적극 지원할 것이며 다양한 의견을 수렴하겠다”고 말했다.

또한 그는 “기업 정보보호 인식제고 및 보안투자 확대 등 기업의 자발적인 보안 역량 강화를 위한 민간주도의 ‘정보보호 등급제도’의 도입이 필요하다. 이는 기업의 정보보호 수준에 따라 등급을 부여하고 이를 자율적으로 공개하는 것으로 기업의 자율적인 정보보호 등급 공개를 통해 이용자에게 기업선택의 객관적 기준을 제공하고 기업간 선의의 보안경쟁을 유도하기 위함”이라고 설명했다.

이어진 초청강연에서는 연세대학교 정보대학원 김범수 교수가 ‘궁금한 CISO 이야기:CISO 제도와 역할’이라는 주제로 강연을 진행했다.

김 교수는 이날 강연에서 “지난 2011년과 2012년 IT관련 책임자 임명 현황을 비교해 보면, 2012년 임명된 CSO(Chief Security Officer: 보안최고책임자), CISO(Chief Information Security Officer: 정보보호최고책임자)는 2011년 보다 줄었고 CPO(Chief Privacy Officer: 개인정보최고책임자)는 늘었다”면서 “그 이유는 개인정보보호법의 본격 시행으로 인해 CPO를 새로 임명했어야 하는데, 이를 겸직 등 기존 인력으로 대체했기 때문으로 분석된다”고 설명했다.

이에 반해 업무 전담은 지난 2011년보다 2012년에 약간 늘었으며 정보보호 전담조직은 줄었고 개인정보 전담조직은 약간 늘었다는 것. 특히 금융권에서는 약 60%가  CIO·CISO를 겸직하고 있는 것으로 조사됐다고 김 교수는 덧붙였다.

이와 같은 국내 CISO 관련 제도는 ‘전자금융거래법·정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 전자금융감독규정’ 등 법과 규정 등으로 정해져 있다. 여기에 명시되어 있는 CISO 자격은 전문학사학위 취득 후 정보보호 분야 4년 이상 경력 또는 학사학위·전문자격 취득 후 2년 이상 정보보호 경력 또는 3년 이상 IT 경력을 보유한 자 등으로 규정하고 있다.

김 교수는 “미국의 연방정보보호관리법 ‘FISMA’에서는 CISO의 전문적 자격을 요구하고 있으며 정보보호 직무가 기본 직무이어야 하며 컴플라이언스 준수를 위한 책임과 수행능력 등이 요구되고 있다”고 설명했다.

또한 그는 “이렇게 CISO에게는 전문성과 기업 보안전략 수립, 규제준수, 위험관리, 업무연속성, 재해복구, 침해사고 대응, IT 감사 등의 폭 넓은 역량이 필요하다”면서 “최근 새롭게 조명되는 CISO의 역할은 전통적 역할 외에도 더 많은 역할이 요구된다. 특히 기업의 보안전략 수립과 규제준수는 기본이며 위험관리, 중재자·리더의 역할, 이사회 참여 및 경영자 설득 유도 등이 매우 중요하다”고 설명했다.

▲ 연세대학교 김범수 교수는 CISO포럼에서 “우리나라에서는 CISO의 상대적 지위와 CEO의 관심도가 가장 중요한 문제”라고 말했다.

김범수 교수는 “CISO의 가장 큰 해결과제에 대한 설문조사 결과 국내에서는 ‘기업 임직원의 인지도 부족’으로 조사됐고, 해외에서는 ‘미래 비즈니스와 보안의 역할 관계, 비전 및 예산부족 문제’로 꼽혔다”면서 “우리나라에서는 CISO의 상대적 지위와 CEO의 관심도가 가장 중요한 문제로 떠올랐다”고 말했다.

또한 그는 ‘CISO가 관리해야 하는 보안 위협과 기업의 우선순위’라는 설문조사 결과, 가장 많은 답변은 ‘우리 회사의 보안관련 법제도 준수, 보안 신뢰도’인 것으로 조사됐다고 덧붙였다.

김 교수는 “미국 CISO의 조직 구성도를 보면 CISO 밑에 전문 컨설턴트가 있고 그 아래에 관리자·기술지원·분석·업무지원·감사 등의 탄탄한 조직으로 구성되어 있지만 우리나라 기업은 CISO 외에는 다른 인력 구성은 거의 없는 편”이라면서 “한국 CISO 현주소를 보면 권한은 없는데 보안사고가 터지면 책임을 지고 물러나야 할 뿐만 아니라 CIO·CISO 겸직이 대부분이며, 임기 보장이 안되고 직무 수행에 따른 보상도 낮은 편”라고 강조했다.

이어서 그는 “국내 CISO 확대 및 활성화를 위해서는 CISO를 임원으로 임명해야 하고 권한·책임의 강화 및 임기보장, 그리고 적절한 보상체계를 마련해야 한다. 아울러 CIO·CISO 겸직금지 및 전임자 임기보장, CISO정책협의회 활성화 등이 필요하다”고 설명했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>